cve - 2020 - 2021:帕洛阿尔托网络PAN-OS容易关键认证绕过漏洞
![](http://www.yyueer.com/sites/default/files/images/articles/TenableResearchCEAlertMedium_41.jpg)
关键认证绕过漏洞PAN-OS设备可以被利用在某些配置,一般推荐的身份提供者。
更新7月2日,2020:推荐配置和解决方案部分被更新以反映新的信息从团队因发现这个漏洞。
背景
6月29日,帕洛阿尔托网络发布一个顾问的一个关键漏洞PAN-OS。PAN-OS是自定义的操作系统(OS),帕洛阿尔托网络(PAN)使用在他们的下一代防火墙。
分析
cve - 2020 - 2021是一个认证绕过漏洞的安全断言标记语言(SAML)在PAN-OS身份验证。10.0的漏洞被CVSSv3.1分数帕洛阿尔托网络。根据他们的顾问,缺陷存在因“不当验证签名。“未经过身份验证的远程攻击者可以利用这个安全漏洞获得“保护资源”在一个网络。最理想的目标,在这种情况下,帕洛阿尔托网络GlobalProtect VPN。
如果你使用SAML帕洛阿尔托防火墙——特别是GlobalProtect VPN——你可能想紧急补丁。
——凯文·博蒙特(@GossiTheDog)2020年6月29日
研究人员也应该避免公开披露的细节窗口给组织时间减少。https://t.co/vh18ZgsurC
PAN-OS设备可以配置为使用SAML验证访问管理和单点登录(SSO)。帕洛阿尔托网络列表下面的资源使用SAML SSO可能受此影响的脆弱性:
- GlobalProtect网关
- GlobalProtect门户
- GlobalProtect Clientless VPN
- 身份验证和俘虏门户
- PAN-OS下一代防火墙,包括:
脆弱的先决条件
咨询指定该漏洞可以利用当满足下列条件:
前提1:SAML验证要求。
隐含的漏洞描述,设备必须配置为使用SAML验证要脆弱。如果设备没有配置为使用SAML验证,不脆弱。
前提2:“身份验证提供者证书”必须被禁用。
下SAML身份提供商服务器概要文件配置节中,“身份验证提供者证书”选项需要被禁用(不)为了使设备是脆弱的。
从著名的供应商推荐配置
虽然这些先决条件似乎不常见,但它看来,显著的组织提供SSO、双重认证和身份服务推荐这种配置或可能只使用这个配置PAN-OS设备上运行。这些供应商包括:
再次重申,上面的指导文档只适用于PAN-OS设备,和无意中使这些设备很容易cve - 2020 - 2021,本指南。
SSL VPN的缺陷:一个历史教训
2019年,几个著名的SSL虚拟专用网(VPN)缺陷被研究人员披露,包括关键pre-authentication GlobalProtect在帕洛阿尔托网络脆弱性”。其他几个SSL VPN缺陷被披露,包括以下几点:
CVE | 产品 | 利用 | 博客 |
---|---|---|---|
cve - 2019 - 1579 | 帕洛阿尔托网络GlobalProtect | 是的 | 1 |
cve - 2019 - 11510 | 脉冲连接安全 | 是的 | 1,2,3 |
cve - 2018 - 13379 | Fortinet FortiGate SSL VPN | 是的 | 1 |
cve - 2019 - 19781 | Citrix应用程序交付控制器和网关 | 是的 | 1,2,3 |
网络罪犯利用概念验证的可用性(PoC)利用代码漏洞,利用他们在各种攻击,民族国家的威胁的皮疹ransomware攻击。这些缺陷一直流行的2020年,作为网络安全基础设施安全机构列出了其中的一些缺陷为“经常利用先进的外国网络演员。”
几个值得注意的安全研究人员以及美国网络司令部已经警告说,cve - 2020 - 2021攻击者可能会利用在不久的将来。
请补丁所有设备立即受到cve - 2020 - 2021,特别是如果SAML是在使用。外国摘要可能会尝试利用很快。我们赞赏@PaloAltoNtwks这个漏洞的积极响应。
- USCYBERCOM网络安全警报(@CNMF_CyberAlert)2020年6月29日
https://t.co/WwJdil5X0F
概念验证
在这篇文章发表的时候,没有工作PoC代码用于这个漏洞。然而,我们预计PoC将在不久的将来变得可用。
解决方案
帕洛阿尔托网络发布了补丁PAN-OS 8。9.0 x和。x和9.1.x。PAN-OS 7.1不受这种脆弱性的影响。下表列出了PAN-OS影响和固定的版本。
PAN-OS版本 | 脆弱的 | 影响版本 | 固定的版本 |
---|---|---|---|
7.1 | 没有 | - - - - - - | - - - - - - |
8.0.x | 是的 | 8.0.0和更大的 | - - - - - - |
8.1.x | 是的 | 8.1.15和较小的 | 8.1.15和更大的 |
9.0.x | 是的 | 9.0.9和较小的 | 9.0.9和更大的 |
9.1.x | 是的 | 9.1.3和较小的 | 9.1.3和更大的 |
站得住脚的强烈鼓励修补PAN-OS设备是否你的设备开发所需的特定的先决条件。
如果没有可行的升级,帕洛阿尔托网络提供了缓解选项。最快的解决方案是完全禁用SAML验证,切换到一个不同的身份验证方法。
直到升级是可行的,额外的缓解选项从帕洛阿尔托咨询包括:
- 如果可用,使用证书身份提供者(IdP)签署的证书颁发机构(CA)
- 启用“身份验证提供者证书”选项
瑞安·纽因顿,他的团队发现了cve - 2020 - 2021,发表一个Twitter线程6月30日澄清一些混乱的脆弱性和使用“验证身份提供商证书”选项。
图片来源:Twitter线程从瑞安·纽因顿CVE - 2020 - 2021(注意:推特不正确标签的CVE CVE - 2020 - 2012)
SAML规范只需要验证中包含的公钥和私钥证书,和州的签署证书带外。这意味着证书是由服务提供者和显式地信任不需要第三方验证证书。
这个问题源于脆弱的代码在PAN-OS数字签名验证不配置指导供应商。然而,他们的指导无意中使PAN-OS设备容易cve - 2020 - 2021。
建议启用“身份验证提供者证书”选项将防止自签署证书到达脆弱的代码。请注意,在关闭此选项没有漏洞的来源,但是允许自签名证书到脆弱的代码。
确定影响系统
站得住脚的插件的列表来确定这个漏洞将会出现在这里当他们被释放。因为脆弱配置依赖,我们的插件将检测潜在的脆弱主机,将需要手动确认脆弱基于特定的部署场景。这个插件的设计,用户需要启用“显示潜在的假警报”设置,也被称为偏执的模式,在扫描政策为了使这个插件扫描。
我们也建议允许只在偏执扫描这个特定的插件。扫描策略配置为启用了所有插件的数量将增加触发器,它将包括所有的偏执在扫描插件。
使偏执的模式
启用该设置Nessus和站得住脚的。io用户:
- >一般>点击评估准确性
- 启用“显示潜在的假警报”选项
启用该设置站得住脚的。sc(原名SecurityCenter)用户:
- 点击评估>准确性
- 点击下拉框,选择“偏执狂(更假警报)”
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。